이벤트 로깅 개요
평가된 구성에서는 시스템 로그를 통해 구성 변경 사항을 감사해야 합니다.
또한 Junos OS는 다음과 같은 이점을 제공합니다.
감사 이벤트에 대한 자동화된 응답을 보냅니다(syslog 항목 생성).
권한 있는 관리자가 감사 로그를 검사할 수 있도록 허용합니다.
감사 파일을 외부 서버로 보냅니다.
권한이 부여된 관리자가 시스템을 알려진 상태로 되돌릴 수 있습니다.
평가된 구성에 대한 로깅은 이벤트를 캡처해야 합니다. 로깅 이벤트는 다음과 같습니다.
표 1 에는 NDcPPv2에 대한 syslog 감사 샘플이 나와 있습니다.
요구 사항 |
Auditable 이벤트 |
추가 감사 기록 내용 |
|---|---|---|
FAU_GEN.1 |
없음 |
없음 |
FAU_GEN.2 |
없음 |
없음 |
FAU_STG_EXT.1 |
없음 |
없음 |
FAU_STG.1 |
없음 |
없음 |
FCS_CKM.1 |
없음 |
없음 |
FCS_CKM.2 |
없음 |
없음 |
FCS_CKM.4 |
없음 |
없음 |
FCS_COP.1/DataEncryption |
없음 |
없음 |
FCS_COP.1/SigGen |
없음 |
없음 |
FCS_COP.1/해시 |
없음 |
없음 |
FCS_COP.1/KeyedHash |
없음 |
없음 |
FCS_RBG_EXT.1 |
없음 |
없음 |
FDP_RIP.2 |
없음 |
없음 |
FIA_AFL.1 |
실패한 로그인 시도 횟수 한도를 초과했습니다. |
시도의 출처(예: IP 주소). |
FIA_PMG_EXT.1 |
없음 |
없음 |
FIA_UIA_EXT.1 |
식별 및 인증 메커니즘의 모든 사용. |
제공된 사용자 ID, 시도 출처(예: IP 주소). |
FIA_UAU_EXT.2 |
식별 및 인증 메커니즘의 모든 사용. |
시도의 출처(예: IP 주소). |
FIA_UAU.7 |
없음 |
없음 |
FMT_MOF.1/수동 업데이트 |
수동 업데이트를 시작하려는 모든 시도. |
없음 |
FMT_MTD.1/코어데이터 |
TSF 데이터의 모든 관리 활동 |
없음 |
FMT_SMF.1 |
없음 |
없음 |
FMT_SMR.2 |
없음 |
없음 |
FPT_SKP_EXT.1 |
없음 |
없음 |
FPT_APW_EXT.1 |
없음 |
없음 |
FPT_TST_EXT.1 |
없음 |
없음 |
FPT_TUD_EXT.1 |
업데이트 시작; 업데이트 시도의 결과(성공 또는 실패) |
없음 |
FPT_STM.1 |
시간에 대한 불연속적인 변경 - 관리자가 자동화된 프로세스를 통해 작동하거나 변경되었습니다. |
시간에 대한 불연속 변경의 경우: 시간에 대한 이전 값과 새 값입니다. 성공 및 실패 시간(예: IP 주소)을 변경하려는 시도의 출처입니다. |
FTA_SSL_EXT.1 |
세션 잠금 메커니즘에 의한 로컬 대화형 세션의 종료The termination of a local interactive session by the session locking mechanism. |
없음 |
FTA_SSL.3 |
세션 잠금 메커니즘에 의한 원격 세션의 종료입니다. |
없음 |
FTA_SSL.4 |
대화형 세션의 종료입니다. |
없음 |
FTA_TAB.1 |
없음 |
없음 |
FCS_SSHS_EXT.1 |
SSH 세션 설정 실패 |
실패 이유 |
FTP_ITC.1 |
신뢰할 수 있는 채널의 시작. 신뢰할 수 있는 채널의 종료입니다. 신뢰할 수 있는 채널 기능에 장애가 발생했습니다. |
실패한 신뢰할 수 있는 채널 설정 시도의 개시자 및 대상을 식별합니다. |
FTP_TRP.1/관리자 |
신뢰할 수 있는 경로의 시작입니다. 신뢰할 수 있는 경로의 종료입니다. 신뢰할 수 있는 경로가 작동하지 않습니다. |
없음 |
FCS_SSHS_EXT.1 |
SSH 세션 설정 실패 |
실패 이유 |
FIA_X509_EXT.1/개정판 |
인증서의 유효성을 검사하지 못했습니다. |
실패 이유 |
FIA_X509_EXT.2 |
없음 |
없음 |
FIA_X509_EXT.3 |
없음 |
없음 |
FMT_MOF.1/함수 |
외부 IT 엔터티에 대한 감사 데이터 전송 동작 수정, 감사 데이터 처리, 로컬 감사 저장 공간이 가득 찼을 때의 감사 기능. |
없음 |
FMT_MOF.1/서비스 |
서비스 시작 및 중지. |
없음 |
FMT_MTD.1/크립토키 |
암호화 키 관리. |
없음 |
FFW_RUL_EXT.1 |
'log' 작업으로 구성된 규칙 적용 |
원본 및 대상 주소.원본 및 대상 포트. 전송 레이어 프로토콜 TOE 인터페이스. |
너무 많은 네트워크 트래픽으로 인해 손실된 패킷 표시 |
패킷을 처리할 수 없는 TOE 인터페이스입니다.패킷 삭제를 유발하는 규칙의 식별자입니다. |
|
FFW_RUL_EXT.2 |
없음 |
없음 |
FCS_IPSEC_EXT.1 |
피어와의 세션 설정 |
세션 설정 중에 전송/수신된 패킷의 전체 패킷 내용입니다. |
FIA_X509_EXT.1 |
CA와의 세션 설정 |
세션 설정 중에 전송/수신된 패킷의 전체 패킷 내용입니다. |
FPF_RUL_EXT.1 |
'log' 작업으로 구성된 규칙 적용 |
원본 및 대상 주소. 원본 및 대상 포트. 전송 레이어 프로토콜 TOE 인터페이스. |
너무 많은 네트워크 트래픽으로 인해 패킷이 손실되었음을 나타냅니다. |
패킷을 처리할 수 없는 TOE 인터페이스입니다. |
또한 주니퍼 네트웍스는 다음과 같은 로깅을 권장합니다.
구성에 대한 모든 변경 사항을 캡처합니다.
로깅 정보를 원격으로 저장합니다.